Hasty Briefsbeta

双语

Guix substitute and guix pull vulnerabilities

8 days ago
  • #guix
  • #vulnerability
  • #security
  • Guix 替代工具存在漏洞,可导致远程权限提升、存储库损坏和文件泄露,无论是否拥有 root 权限,所有系统均受影响。
  • 利用漏洞需要下载二进制替代文件;任何替代服务器或中间人攻击者均可发起攻击,即使使用 HTTPS,本地利用需要套接字访问权限。
  • Guix pull 和 guix time-machine 存在漏洞,允许通过控制频道文件创建或覆盖文件,主要造成拒绝服务风险。
  • 详细说明了四个具体漏洞:restore-file 未加固、fetch-narinfos 未验证 URL、file:// URI 问题以及 cache-key 滥用。
  • 缓解措施包括使用 --no-substitutes 禁用替代、避免不可信的频道文件,以及通过 guix pull 和守护进程重启更新至修复后的提交版本。
  • 修复措施涉及加固 restore-file、验证 narinfos、限制 file:// URI 使用,以及修改 cache-key 派生以防止目录遍历。
  • 升级说明因 Guix System 和其他发行版而异,强调立即更新并在过程中谨慎使用替代文件。
  • 时间线显示漏洞于 2026 年 5 月至 6 月发现,通过协调披露和拉取请求 #9665 修复。
  • 提供了测试脚本以检查漏洞状态,内含验证代码。